-
Достоинства и недостатки основных технологий межсетевых экранов
Наиболее распространенными средствами защиты сетей являются межсетевые экраны . Главная функция МЭ экранирование сетевого трафика с целью предотвращения несанкционированного доступа между компьютерными сетями.
В качестве МЭ могут выступать маршрутизаторы, персональный компьютер или набор узлов, расположенные между надежными (например, внутренними) и ненадежными (например, Интернет) сетями и контролирующие весь трафик, который между ними проходит.
Эффективность МЭ обуславливается тем, что:
все соединения проходят через МЭ (в противном случае, если есть альтернативный сетевой маршрут, эффективность сильно снижается);
МЭ пропускают только санкционированный трафик;
МЭ должен противостоять атакам против самого себя.
Преимущества МЭ
МЭ ограничивает доступ к определенным службам (например, общий доступ к веб-узлу может быть разрешен, а к telnet - запрещен).
МЭ средство аудита. Они могут заносить в журнал информацию о любом проходящем трафике.
МЭ обладают возможностями по оповещению о конкретных событиях.
Недостатки МЭ
МЭ разрешают установку обычных соединений санкционированных приложений, но если приложение представляет собой угрозу, МЭ не сможет предотвратить ее реализацию (например, МЭ разрешают прохождение электронной почты на почтовый сервер, но не находит вирусов в сообщении).
Эффективность МЭ зависит от правил, на соблюдение которых они настроены.
МЭ не защищают от аутсайдеров.
МЭ не предотвращают атаки, если трафик не проходит через них.
МЭ, как правило, располагаются на сетевом периметре.
В настоящее время используются четыре технологии МЭ:
пакетные фильтры;
шлюзы приложений;
шлюзы уровня соединений;
МЭ с адаптивной проверкой пакетов.
1. МЭ с фильтрацией пакетов обеспечивают защиту сети путем фильтрации сетевых сообщений на основе информации, содержащейся в заголовках TCP/IP каждого пакета.
Фильтры пакетов принимают решение исходя из следующих данных заголовка:
IP-адрес источника;
IP-адрес отправителя;
применяемый сетевой протокол (TCP, UDP, ICMP);
порт источника TCP или UDP;
порт назначения TCP или UDP;
тип сообщения ICMP (Internet Control Message Protocol протокол управляющих сообщений в сети Интернет), если применяется протокол ICMP.
Существуют различные стратегии реализации фильтров пакетов. Наиболее популярными являются следующие две.
Построение правил от наиболее конкретных к наиболее общим.
Правила упорядочиваются таким образом, чтобы наиболее часто используемые из них находились во главе списка. Это сделано для повышения эффективности.
Межсетевые экраны с фильтрацией пакетов не используют модули доступа для каждого протокола и поэтому могут использоваться с любым протоколом, работающим через IP. Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Например, FTP будет использовать одно соединение для начального входа и команд, а другое - для передачи файлов. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP, и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением. Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.
Достоинства МЭ с фильтрацией пакетов:
производительность фильтрация происходит на скорости, близкой к скорости передачи данных;
хороший способ управления трафиком;
прозрачность.
Недостатки МЭ с фильтрацией пакетов:
низкий уровень масштабируемости. По мере роста наборов правил становится все труднее избегать ненужных соединений;
возможность открытия больших диапазонов портов;
подверженность атаки с подменой данных. Атаки с подменой данных, как правило, подразумевают присоединение ложной информации в заголовок TCP/IP.
Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.
2. Межсетевые экраны уровня приложений
Межсетевые экраны приложений контролируют содержимое пакетов на уровне приложений. Они обеспечивают более высокий уровень безопасности.по сравнению с пакетными фильтрами, но за счет потери прозрачности для контролируемых служб. Межсетевые экраны приложения играют роль сервера для клиента и клиента для реального сервера, обрабатывая запросы реального сервера вместо пользователей, которых он защищает.
При использовании межсетевого экрана прикладного уровня все соединения проходят через него. Соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.
Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.
Межсетевые экраны прикладного уровня содержат модули доступа для наиболее часто используемых протоколов, таких как HTTP, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать. Если модуль доступа отсутствует, то конкретный протокол не может использоваться для соединения через межсетевой экран. Межсетевые экраны приложений могут осуществлять дополнительную проверку сообщений, которую простой фильтр пакетов не предусматривает. Они способны проверять на наличие вирусов и удалять с Web-страниц активное содержимое, например, Java-апплеры. Так как анализ трафика между Internet требует вычислительных затрат, то должен для этих целей выделен специальный компьютер. В отличие от пакетных фильтров, шлюзы приложений позволяют ограничить количество допустимых операций за одно соединение.
Недостатками межсетевые экраны приложений являются более низкая производительность по сравнению с пакетными фильтрами и более высокая, чем для пакетных фильтров стоимость; невозможность использовании протоколов RPC и UDP.
3. Шлюзы уровня соединений
Шлюзы уровня соединений аналогичны шлюзам приложений, однако они не могут разграничивать приложения. Они функционируют посредством коммутации TCP-соединений из доверенной сети в недоверенную. Это означает, что прямое соединение между клиентом и сервером никогда не устанавливается. Шлюзы уровня соединения нуждаются в информации о соединении от клиентов, которым она известна и которые запрограммированы на использование шлюза.
Основное их преимущество в том, что они предоставляют службы для многих протоколов и могут быть адаптированы к большому количеству соединений.
Недостатки:
- Необходимы клиенты, которые могут использовать именно шлюзы уровня соединений. Некоторые клиентские приложения нельзя модифицировать таким образом, чтобы они поддерживали шлюз уровня соединения, что ограничивает их возможности по обращению к внешним ресурсам.
- Шлюзы уровня соединения не допускают контроль на прикладном уровне. Это позволяет приложениям использовать порты TCP, которые были открыты для выполнения легальных задач.
В частности, областью применения шлюзов уровня соединения может быть организация так называемых виртуальных частных сетей (VPN - Virtual Private Network). Обычно локальные сети (например, головной организации и ее филиалов) связывают друг с другом при помощи глобальной сетевой службы, например арендованной линии или других выделенных средств для обеспечения надежного соединения между двумя точками. Развернув виртуальную частную сеть (VPN), компании могут создать соединение между межсетевыми экранами без дополнительных расходов на выделенные линии.
4. МЭ с адаптивной проверкой пакетов (или МЭ с запоминанием состояния пакетов)
МЭ с адаптивной проверкой пакетов пропускают и блокируют пакеты в соответствии с почти таким же набором правил, как и у пакетного фильтра. Они осуществляют контроль не только на базе IP-адресов и портов, но также и по значениям SYN (флаг синхронизации, создает сеанс TCP), ASK (флаг распознавания, подтверждает успешное принятие предыдущего пакета), порядковых номеров и других данных, содержащимся в заголовке TCP. Такие МЭ отслеживают состояние каждого сеанса и могут динамически открывать и закрывать порты в соответствии с требованиями различных сеансов. Они также способны анализировать данные определенных типов пакетов. Пример протокол FTP, применительно к которому производится анализ команд для определения правильности направления их передачи.
Основным недостатком МЭ с запоминанием состояния пакетов является то, что он допускает прямые соединения между ненадежными и надежными хостами.
Чтобы обезопасить ЛВС от вторжений при выходе из строя одного из компонентов, необходимо создать многоступенчатую систему МЭ. Целесообразно использовать шлюз приложений, снабженный дополнительной защитой в виде двух фильтров пакетов: одного на входе в корпоративную сеть со стороны Интернет, другого на ее выходе в Интернет.
Симметричное построение обеспечивает также определенную защиту от НСД в собственной сети. При этом Интернет-сервер необходимо подключать к одной или нескольким сетевым платам таким образом, чтобы он был защищен шлюзом приложений и одновременно с этим не находился непосредственно в ЛВС. Он имеет право общаться с внутренней сетью через шлюз приложений и внутренние фильтры пакетов.
